Vài ngày trước một lỗ hổng đã được tiết lộ trong nền tảng khóa học trực tuyến phổ biến Coursera và đó có phải là vấn đề mà anh ấy gặp phải trong API, vì vậy Người ta tin rằng rất có thể tin tặc đã lạm dụng lỗ hổng "BOLA" để hiểu sở thích khóa học của người dùng, cũng như làm lệch các tùy chọn khóa học của người dùng.
Ngoài ra, người ta cũng tin rằng các lỗ hổng được tiết lộ gần đây có thể đã làm lộ dữ liệu người dùng trước khi được sửa chữa. Những các sai sót đã được phát hiện bởi các nhà nghiên cứu từ công ty kiểm tra bảo mật ứng dụng checkmarx và được xuất bản trong tuần qua.
Các lỗ hổng liên quan đến nhiều loại giao diện lập trình ứng dụng Coursera và các nhà nghiên cứu quyết định đi sâu vào vấn đề bảo mật của Coursera do tính phổ biến ngày càng tăng của nó thông qua việc chuyển sang làm việc và học trực tuyến do đại dịch COVID-19.
Đối với những người không quen thuộc với Coursera, bạn nên biết rằng đây là một công ty có 82 triệu người dùng và làm việc với hơn 200 công ty và trường đại học. Các quan hệ đối tác đáng chú ý bao gồm Đại học Illinois, Đại học Duke, Google, Đại học Michigan, Máy kinh doanh quốc tế, Đại học Imperial London, Đại học Stanford và Đại học Pennsylvania.
Các vấn đề API khác nhau đã được phát hiện bao gồm liệt kê người dùng / tài khoản thông qua tính năng đặt lại mật khẩu, thiếu tài nguyên làm hạn chế cả API GraphQL và REST cũng như cấu hình GraphQL không chính xác. Đặc biệt, vấn đề ủy quyền cấp đối tượng bị hỏng đứng đầu danh sách.
Khi tương tác với ứng dụng web Coursera với tư cách là người dùng thông thường (sinh viên), chúng tôi nhận thấy rằng các khóa học đã xem gần đây được hiển thị trong giao diện người dùng. Để trình bày thông tin này, chúng tôi phát hiện nhiều yêu cầu API GET đến cùng một điểm cuối: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
Lỗ hổng API BOLA được mô tả là tùy chọn người dùng bị ảnh hưởng. Lợi dụng lỗ hổng bảo mật, ngay cả những người dùng ẩn danh cũng có thể truy xuất các tùy chọn, nhưng cũng có thể thay đổi chúng. Một số tùy chọn, chẳng hạn như các khóa học và chứng chỉ đã xem gần đây, cũng lọc ra một số siêu dữ liệu. Các lỗi BOLA trong API có thể làm lộ các điểm cuối xử lý các mã nhận dạng đối tượng, có thể mở ra cánh cửa cho các cuộc tấn công rộng lớn hơn.
«Lỗ hổng này có thể đã bị lạm dụng để hiểu sở thích khóa học của người dùng nói chung trên quy mô lớn, nhưng cũng làm sai lệch lựa chọn của người dùng theo một cách nào đó, vì việc thao túng hoạt động gần đây của họ ảnh hưởng đến nội dung được trình bày trên trang chủ Coursera cho một người dùng, ”các nhà nghiên cứu giải thích.
Các nhà nghiên cứu cho biết: “Thật không may, các vấn đề về ủy quyền khá phổ biến với các API. “Điều rất quan trọng là phải tập trung xác thực kiểm soát truy cập trong một thành phần duy nhất, được kiểm tra tốt, kiểm tra liên tục và duy trì tích cực. Các điểm cuối API mới hoặc các thay đổi đối với các điểm hiện có, cần được xem xét cẩn thận so với các yêu cầu bảo mật của chúng. "
Các nhà nghiên cứu lưu ý rằng các vấn đề về ủy quyền là khá phổ biến với các API và do đó, điều quan trọng là phải tập trung xác thực kiểm soát truy cập. Làm như vậy phải thông qua một thành phần duy nhất, được kiểm tra tốt và bảo trì liên tục.
Các lỗ hổng được phát hiện đã được gửi cho nhóm bảo mật của Coursera vào ngày 5 tháng XNUMX. Xác nhận rằng công ty đã nhận được báo cáo và đang làm việc vào ngày 26 tháng 18, và Coursera sau đó đã viết cho Cherkmarx nói rằng họ đã giải quyết các vấn đề từ ngày 2 tháng XNUMX đến ngày XNUMX tháng XNUMX và Coursera sau đó đã gửi một báo cáo về thử nghiệm mới với một vấn đề mới. Cuối cùng, Vào ngày 24 tháng XNUMX, Coursera xác nhận rằng tất cả các vấn đề đã được khắc phục.
Mặc dù thời gian từ tiết lộ đến sửa chữa khá lâu, các nhà nghiên cứu cho biết nhóm bảo mật Coursera rất vui được làm việc cùng.
Họ kết luận: “Tính chuyên nghiệp và sự hợp tác của họ, cũng như quyền sở hữu nhanh chóng mà họ đảm nhận, là những gì chúng tôi mong đợi khi hợp tác với các công ty phần mềm.
Fuente: https://www.checkmarx.com